Атаки TeamPCP пошли на спад, но угроза возросла из-за перехода на вымогателей

Разрушительная серия атак TeamPCP на цепочки поставок временно остановилась: прошло уже три дня с момента публикации группой вредоносных версий SDK Telnyx на PyPI, и новых сообщений о компрометации проектов с открытым исходным кодом не поступало.

Партнёрство с новой операцией RaaS

"Предыдущий операционный ритм был агрессивным — новая цель каждые 1-3 дня (Trivy [19 марта], CanisterWorm [20-22 марта], Checkmarx [23 марта], LiteLLM [24 марта], Telnyx [27 марта])", — отметил инструктор SANS Кеннет Хартман.

"Текущая пауза в сочетании с анонсом партнёрства с аффилиатом Vect указывает на то, что TeamPCP сместила основной фokus с расширения атак на цепочки поставок на монетизацию уже собранных учётных данных."

Упомянутое объявление было сделано Vect, новой операцией "ransomware-as-a-service" (RaaS), на BreachForum, известной "точке сбора" киберпреступников.

Они раскрыли свой план сделать всех участников BreachForum своими аффилиатами (предоставив "Ключ аффилиации Vect"), а также объявили о партнёрстве с TeamPCP.

"Вместе мы готовы развернуть программы-вымогатели во всех пострадавших компаниях, и на этом мы не остановимся. Мы проведём ещё более масштабные операции по цепочкам поставок. Мы превратим эти компрометации в разрушительные последующие кампании с вымогателями", — похвастались они.

Угроза реальна. По словам Хартмана, уже было зафиксировано первое подтверждённое развёртывание программы-вымогателя Vect с использованием учётных данных, полученных TeamPCP.

Быстрая эволюция TeamPCP

TeamPCP появилась в 2024 году и сосредоточилась на атаках и компрометации неправильно настроенных Docker API, кластеров Kubernetes, панелей Ray и серверов Redis для кражи учётных данных и установки криптомайнеров.

В 2025 году они начали наращивать потенциал для автоматизированных атак на цепочки поставок.

"В конце 2025 года они развернули CanisterWorm, самораспространяющегося червя, который использовал узлы ICP Canister в качестве децентрализованной, устойчивой к цензуре C2-инфраструктуры — это первый зафиксированный случай применения данной техники в реальных условиях. В начале 2026 года появились разрушительные полезные нагрузки с логикой геотаргетинга, сочетающие кражу учётных данных с регионально-ориентированным уничтожением данных", — сообщает команда OpenSourceMalware.

"Кампания марта 2026 года представляет собой кульминацию: каскадную цепочку через экосистемы пяти вендоров, инициированную одним сохранённым учётным данным [от предыдущей компрометации Trivy]."

Они продемонстрировали свою адаптивность даже в ходе этих последних атак на цепочки поставок.

«Всего за восемь дней злоумышленник переключился между системами безопасности, инфраструктурой искусственного интеллекта и инструментами телекоммуникаций, изменив методы доставки от встроенного Base64 к автоматическому исполнению .pth и, наконец, к стеганографии в разделённых WAV-файлах, одновременно расширив целевую платформу с только Linux на двойное нацеливание с обеспечением устойчивости в Windows», — отметили исследователи Trend Micro после компрометации Telnyx.

Хартман также задокументировал ещё один инновационный метод группы: использование GitHub Releases API в качестве резервного канала для эксфильтрации данных во время компрометации цепочки поставок.

Атаки TeamPCP создают волновой эффект через зависимости

Хартман подчеркнул, что пауза в атаках TeamPCP на цепочки поставок не должна восприниматься как конец подобных операций группы.

«TeamPCP прямо заявили, что намерены «оставаться здесь надолго», а украденные учётные данные из оцениваемого в 300 ГБ тайника могут в любой момент позволить осуществить новые компрометации пакетов. Отсутствие новых атак также может отражать повышенную бдительность реестров пакетов — PyPI изолировал две кампании TeamPCP подряд, что, возможно, увеличивает стоимость операций злоумышленников на этой платформе».

Сопровождающие проектов с открытым исходным кодом должны осознавать, что TeamPCP — это высококвалифицированная группа атакующих, и им следует принять меры для защиты своих проектов.

«Этот инцидент также обнажает полную глупость слепого обновления до последних версий пакетов. Одержимость использованием новейшего патча в момент его выхода — это огромная уязвимость», — также высказали мнение исследователи Trend Micro.

«Если ваш CI/CD-конвейер автоматически загружает новейший релиз без периода карантина, вы автоматизируете собственный взлом. Фиксируйте ваши зависимости с помощью криптографических хэшей. Позвольте чужой инфраструктуре первой протестировать новейший релиз на наличие вредоносного кода в цепочке поставок».

Исследователи GitGuardian проанализировали, как атаки TeamPHP на цепочки поставок распространяются через зависимости и автоматизированные конвейеры, и обнаружили, что:

  • 474 публичных репозитория выполнили вредоносный код из скомпрометированного компонента trivy-action (CI/CD)
  • 1 750 пакетов Python (PyPI) были настроены таким образом, что автоматически загружали бы заражённые версии LiteLLM

Эти цифры не являются окончательными — то есть, реальные масштабы, вероятно, больше — поскольку исследователи не имели возможности (или не смогли) проанализировать приватные репозитории GitHub и ограничили поиск пакетами Python с прямой зависимостью от LiteLLM.

«Пакет мог быть включён через более длинную цепочку зависимостей. Поиск точного дайджеста вредоносных пакетов — единственный способ определить, был ли он загружен на конкретную машину», — отметили эксперты и предоставили SHA256-дайджесты зловредных пакетов для использования организациями в ходе расследований.

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда оставаться в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!

Supply Chain AttackPyPIRaaS (Ransomware-as-a-Service)Credential HarvestingThreat Intelligence